A rendelők döntő többségében a korábbi papíros kartonozás helyett már eljött a digitalizáció kora, és áttértek valamelyik betegirányítási rendszer használatára – a kínálat széles, a GDPR-felkészülés nem egyértelmű.
Tucatnál is több szoftverrel találkoztunk a privát egészségügyi intézmények GDPR-felkészítése során, egy-két igen együttműködő, előzékeny cégtől eltekintve nem voltak jó a tapasztalataink – summázza Lengyel Lívia, a Praxisakadémia adatvédelmi szakértője.
Mit kell tisztázni a GDPR-felkészülés részeként a betegirányítási szoftver kapcsán?
A két legfontosabb kérdés a tárolás és a hozzáférhetőség. Azaz, a szoftverbe kerülő betegadatok hol tárolódnak, a rendelőben egy szerveren, vagy például felhő alapon, illetve a szoftverfejlesztői-üzemeltetői munkatársai hol és hogyan férnek hozzá az adatokhoz. Ezeket az alapparamétereket az adatfeldolgozói nyilatkozatban szükséges dokumentálni. Ebbe a kérdéskörbe tartozik még a biztonsági és vírusvédelem, valamint a biztonsági mentések.
Kritikus pontok,
ami visszatérő kockázati tényező az adatvédelmi hatásvizsgálatok során:
- Minden felhasználó csak saját névvel és saját jelszóval jelentkezik be a programba.
- Az adatok hozzáférése jogosultsági szintek szerint szabályozott – például egy közreműködő orvos nem fér hozzá automatikusan minden adathoz, minden pácienssel kapcsolatban, ahogy optimális esetben a recepciós munkatárs csak a bejelentkezéshez és számlakészítéshez szükséges adatokat látja, az anamnézist vagy ambuláns lapot nem.
- A szoftverben elvégzett felhasználói aktivitások naplózottak – vagyis nyoma van, visszakövethető, akár egy adatvédelmi incidens során.
- A szoftverből az adatok letöltése korlátozott, a legmagasabb adminisztrátori szinthez rendelt – az adatmentés nem lehetséges például egy bérlőnek, közreműködőnek, vagy akár a recepciósnak.
Kifejezetten GDPR-vonatkozások:
- A jogi kötelezettség alapján kezelt egészségügyi és számlázási adatok nem törölhetőek, vagy korlátozhatóak.
- A nem jogi kötelezettség alapján kezelt személyes adatok a páciens kérésére törölhetőek.
- Hozzájárulás jogalapon kezelt adatok (hírlevél-feliratkozás, fotódokumentáció online publikációja, betegelégedettség közzététele) kezelését érintett visszavonhatja, a betegirányítási szoftver alkalmas ennek kezelésére.
- A páciens adatainak tárolása célonként történik.
- A páciens kérésére a kezelt adatok a szoftverből hozzáférhetők digitális formában, a GDPR-rendelet szerinti határidőn belül, külön fejlesztés nélkül.
A szoftvert biztosító céggel részletes, a fentieket mind tartalmazó adatfeldolgozói nyilatkozatot írunk alá, hogy a vállalásokat és felelősségeket rögzítsük.
Egészségügyre szakosodott, teljeskörű GDPR-felkészítés • Adatvédelmi, adatkezelési konzultáció • Adatvédelmi tisztviselő biztosítása Keresse munkatársainkat! |